Informes: Configurar Reporting Engine

Document created by RSA Information Design and Development on May 1, 2018
Version 1Show Document
  • View in full screen mode

Garantice que:

  • Tiene los Decoders que están conectados al Concentrator agregado al Reporting Engine para el origen de datos seleccionado, antes de agregar una regla de alerta.
  • Instaló y configuró un servidor de syslog que es compatible con TCP/TLS en el ambiente. Por ejemplo, WinSyslog. Puede configurar el Reporting Engine de modo que envíe mensajes de syslog mediante TCP con Transport Layer Security (TLS) cuando se activa una alerta.

Para configurar el Reporting Engine de modo que envíe alertas de syslog mediante TCP con Transport Layer Security (TLS):

  1. Obtenga los certificados necesarios.
  2. Agregue el certificado de CA en el archivo ca.pem en el servidor de NetWitness.

  3. Configure el servidor de syslog para aceptar mensajes de máquinas cliente.

  4. Configure la distribución de los mensajes de alerta en la interfaz del usuario de NetWitness.

Tarea 1: Obtenga los certificados necesarios

Para generar certificados para configurar Reporting Engine para que envíe mensajes de syslog mediante TCP con TLS:

  1. Genere un certificado de autoridad de certificación (CA). Para obtener más información, consulte http://www.rsyslog.com/doc/tls_cert_ca.html.

Nota: Puede omitir este paso si ya tienen un CA ejecutándose en su ambiente.

  1. Genere un par de claves para el servidor de syslog. Para obtener más información, consulte http://www.rsyslog.com/doc/tls_cert_machine.html.

Nota: Puede omitir este paso si ya configuró la seguridad del servidor de syslog con la clave y los certificados que genera la misma CA.

Tarea 2: Agregue el certificado de CA en el archivo ca.pem en el servidor de NetWitness

Para agregar un certificado de CA existente en el archivo ca.pem:

  1. Agregue manualmente el contenido del certificado de CA que generó para el archivo /etc/pki/CA/certs/ca.pem.
  2. Ejecute el siguiente comando en el servidor de NetWitness para hacer que el certificado se rellene en la lista de confianza:
    keytool -import -file /etc/pki/CA/certs/ca.pem -keystore cacerts

Tarea 3: Configure el servidor de syslog para aceptar mensajes de máquinas cliente

Para configurar el servidor de syslog para aceptar mensajes de máquinas cliente que tienen los mismos certificados de CA:

  1. Copie los siguientes archivos en la ubicación de destino de servidor TCP segura:
    • ca_cert.pem

    • server_cert.pem

    • server_key.pem

      donde:

      ca_cert.pem es el certificado de CA

      server_cert.pe mes el certificado del servidor

      server_key.pem es la clave del servidor

      Para obtener más información, consulte la documentación específica del servidor de syslog. Si está usando rsyslog, consulte http://www.rsyslog.com/doc/tls_cert_server.html.

Tarea 4: Configure la distribución de los mensajes de alerta en NetWitness

Configure Reporting Engine para que envíe mensajes de syslog a través de TCP con Transport Layer Security (TLS) cuando se active una alerta, mediante la habilitación de SECURE_TCP en la pestaña Acciones de salida para el servicio Reporting Engine en la vista Configuración de servicios de Reporting Engine. Para obtener más información, consulte el tema Acciones de salida de Reporting Engine de la Guía de configuración de hosts y servicios.

 

You are here
Table of Contents > Configurar Reporting Engine

Attachments

    Outcomes